กฎหมาย FISAAA ของสหรัฐอเมริกาให้อำนาจโดยพฤตินัยในการเฝ้าระวังข้อมูลบนคลาวด์ทั่วโลก ตามการศึกษาล่าสุดโดยรัฐสภายุโรป 01net สัมภาษณ์ Caspar Bowden หนึ่งในผู้เขียนร่วมเพื่อขอคำอธิบายโดยละเอียด
ตามล่าสุดการศึกษารัฐสภายุโรปกฎหมาย FISAAA (พระราชบัญญัติแก้ไขเพิ่มเติมพระราชบัญญัติการสอดแนมข่าวกรองต่างประเทศ) อนุญาตให้บริการของอเมริกาดึงข้อมูลจากโครงสร้างพื้นฐานการประมวลผลแบบคลาวด์ในวงกว้างและอัตโนมัติเพื่อวัตถุประสงค์ในการจารกรรม
Caspar Bowden หนึ่งในผู้ร่วมเขียนการศึกษาวิจัย ซึ่งเป็นผู้สนับสนุนสิทธิความเป็นส่วนตัวอิสระ อธิบายว่าเหตุใดจึงสามารถดำเนินการเฝ้าระวังทางไซเบอร์ดังกล่าวได้และทำอย่างไร
01สุทธิ: จากการศึกษาวิจัยที่คุณลงนามร่วม American FISA Amendment Act 2008 (FISAAA) เป็นอันตรายต่อการปกป้องข้อมูลของยุโรปมากกว่า PATRIOT ACT เพื่ออะไร?
แคสเปอร์ โบว์เดน:กฎหมาย PATRIOT และ FISAAA ยาวกว่าและซับซ้อนกว่ากฎหมายยุโรปส่วนใหญ่มาก และมีชาวยุโรปเพียงไม่กี่คนที่ใส่ใจที่จะศึกษากฎหมายเหล่านี้อย่างรอบคอบ กฎหมายทั้งสองฉบับอนุญาตให้หน่วยข่าวกรองหรือหน่วยงานตำรวจเข้าถึงข้อมูลดิจิทัลได้ กล่าวโดยสรุป PATRIOT อนุญาตให้บริการตำรวจดึงข้อมูลจำนวนจำกัดซึ่งจะต้องระบุ ความแปลกใหม่ของ FISAAA และโดยเฉพาะมาตรา §1881a คือ กฎหมายนี้ 1) กำหนดเป้าหมายเฉพาะข้อมูลที่ตั้งอยู่นอกสหรัฐอเมริกาและเป็นของบุคคลที่ไม่ใช่ชาวอเมริกัน 2) บังคับใช้กับผู้ให้บริการระบบคลาวด์โดยเฉพาะ (และไม่ใช่แค่ผู้ให้บริการโทรคมนาคม) และ 3) ขจัดข้อจำกัดบางประการที่ก่อนหน้านี้ขัดขวางการดำเนินการเฝ้าระวังทางไซเบอร์ขนาดใหญ่และต่อเนื่องและการกู้คืนข้อมูลทุกประเภท
ดังนั้น FISAAA จึงอนุญาตให้ NSA (หน่วยงานความมั่นคงแห่งชาติ) ขอให้ผู้ให้บริการคลาวด์รายใหญ่ติดตั้งอุปกรณ์ถาวรเพื่อสแกนข้อมูลใด ๆ ที่พวกเขาจัดการนอกสหรัฐอเมริกา เนื่องจากดำเนินการภายในศูนย์ข้อมูล การเข้ารหัสข้อมูลระหว่างโครงสร้างพื้นฐานคลาวด์และคอมพิวเตอร์ของคุณจึงไร้ประโยชน์และไม่มีการป้องกัน แน่นอนว่าใครๆ ก็อาจพูดว่า “ตกลง ฉันจะเข้ารหัสข้อมูลของฉันเองก่อนที่จะส่ง” แต่การจัดเก็บข้อมูลระยะไกลประเภทนี้ถือเป็นแง่มุมที่ไม่สำคัญมากของการประมวลผลแบบคลาวด์ เพื่อใช้ประโยชน์จากความสามารถในการประมวลผลของระบบคลาวด์ ผู้ให้บริการคลาวด์จะต้องสามารถทำงานกับข้อมูลที่ไม่ได้เข้ารหัสได้ และวางอุปกรณ์ FISAAA ไว้ในตำแหน่งที่มีการถอดรหัสได้ การตรวจสอบนี้สามารถทำได้ด้วยฮาร์ดแวร์ Deep Packet Inspection (DPI) หรือมองไม่เห็นที่โครงสร้างพื้นฐานซอฟต์แวร์ระบบคลาวด์ มีตัวอย่างด้านเทคนิคและกฎหมายเกี่ยวกับปัญหาประเภทนี้
มีสองสิ่งที่ฉันพบว่าน่าประหลาดใจเป็นพิเศษ ประการแรก ไม่มีใครสังเกตเห็นว่าเฟรมเวิร์กแอปพลิเคชันของ FISAAA เปลี่ยนจากการแตะโทรศัพท์ธรรมดาไปเป็นการตรวจสอบข้อมูลในศูนย์ข้อมูล ไม่มีการเขียนเกี่ยวกับเรื่องนี้ในช่วงสี่ปีที่ผ่านมา ประการที่สอง บทความข่าวทั้งหมดที่พูดคุยเกี่ยวกับ FISAAA 2008 อธิบายว่ากฎหมายนี้เป็นอันตรายต่อพลเมืองอเมริกัน อย่างไรก็ตาม FISAAA มุ่งเป้าไปที่ใครก็ตามที่ไม่ใช่คนอเมริกัน – เบาะแสอยู่ในคำว่า “ต่างประเทศ”
01สุทธิ: อย่างไรก็ตาม สหภาพยุโรปห้ามมิให้ถ่ายโอนข้อมูลส่วนบุคคลออกนอกอาณาเขตของตน นั่นไม่พอเหรอ?
แคสเปอร์ โบว์เดน:นี่เป็นนิยายทางกฎหมาย เนื่องจากมีข้อยกเว้นสำหรับกฎเพื่อยืนยันการถ่ายโอนข้อมูล และมีการใช้ในลักษณะที่น่าสงสัย นี่เป็นกรณีของตัวอย่างเช่นเซฟฮาร์เบอร์(ชุดหลักการสำหรับการปกป้องข้อมูลส่วนบุคคลที่เจรจาระหว่างหน่วยงานอเมริกันของคณะกรรมาธิการยุโรปในปี 2544 หมายเหตุบรรณาธิการ) หรือสัญญามาตรฐานยุโรปสำหรับการปกป้องข้อมูล พวกเขาไม่ได้ให้ความคุ้มครองใดๆ ต่อ PATRIOT หรือ FISAAA ข้อยกเว้นใหม่ของการห้ามการถ่ายโอนข้อมูลเพิ่งปรากฏขึ้น เป็นข้อมูลเฉพาะสำหรับการประมวลผลแบบคลาวด์และโดยเฉพาะอย่างยิ่งขั้นสูงโดย CNIL ด้วยเหตุผลบางอย่างที่ฉันไม่ทราบ เหล่านี้คือกฎเกณฑ์ของบริษัทที่มีผลผูกพัน (BCR) แนวคิดก็คือโครงสร้างพื้นฐานของผู้ให้บริการคลาวด์ได้รับการตรวจสอบความปลอดภัยโดยบริษัทเอกชน ในระหว่างกระบวนการนี้ เอกสารจำนวนมากจะถูกสร้างขึ้น และต่อมาการถ่ายโอนข้อมูลจะได้รับการอนุมัติโดยอัตโนมัติ แต่ไม่มีบริษัทตรวจสอบเอกชนรายใดที่มีอำนาจเปิดเผยอุปกรณ์สอดแนมลับอย่างเป็นทางการที่ได้รับการสนับสนุนจากประเทศอื่นภายใต้กฎหมายความมั่นคงแห่งชาติ นอกจากนี้ บริษัทตรวจสอบบัญชีเอกชนยังรู้สึกเขินอายมากเมื่อคุณพูดคุยเรื่องนี้กับพวกเขา
จุดยืนของ CNIL ก็คือไม่ควรมีระบบดังกล่าว แต่ถ้ามีอยู่ สิ่งนี้จะไม่ทำให้เกิดคำถามต่อ BCR แต่เป็นการนำไปปฏิบัติ และอย่างไรก็ตาม มันควรจะขึ้นอยู่กับรัฐที่จะดูแลธุรกิจประเภทนี้ ไม่ใช่ CNIL ยิ่งไปกว่านั้น หากสมาชิกของรัฐบาลอเมริกันหรือผู้บริหารของผู้ให้บริการคลาวด์ตัดสินใจแจ้งให้ทางการยุโรปทราบเกี่ยวกับการมีอยู่ของระบบดังกล่าว เขาจะต้องรับผิดต่อการดูหมิ่นศาลรัฐบาลกลางที่เกี่ยวข้องกับข่าวกรองต่างประเทศ (FISC, การเฝ้าระวังข่าวกรองต่างประเทศ) ศาล) และมีแนวโน้มที่จะฝ่าฝืนพระราชบัญญัติการจารกรรมของสหรัฐฯ ซึ่งห้ามมิให้มีการเผยแพร่ข้อมูลลับเกี่ยวกับวิธีการข่าวกรอง
เป็นเรื่องเหลือเชื่อที่ตัวแทนในยุโรปและหน่วยงานคุ้มครองข้อมูลส่วนใหญ่ดูเหมือนจะเพิกเฉยต่อปัญหานี้ สิ่งนี้สะท้อนให้เห็นถึงทัศนคติที่ค่อนข้างเป็นระบบราชการซึ่งสนับสนุนโครงสร้างทางกฎหมายมากกว่าความเป็นจริงทางเทคนิค ตัวแทนบางรายอยู่ภายใต้การล็อบบี้อย่างเข้มข้นจากภาคอุตสาหกรรม และอยู่ภายใต้แรงกดดันมหาศาลในการหาวิธีทำให้การประมวลผลแบบคลาวด์ถูกต้องตามกฎหมาย เพื่อรักษาความสามารถในการแข่งขันของเศรษฐกิจยุโรป แต่การสูญเสียอำนาจอธิปไตยเหนือข้อมูลส่วนบุคคลของชาวยุโรปไม่ใช่วิธีแก้ปัญหาเพื่อรักษาความสามารถในการแข่งขัน!
เราต้องไม่ลืมว่าปัญหานี้ไม่เพียงแต่เกี่ยวข้องกับศูนย์ข้อมูลในดินแดนอเมริกาเท่านั้น PATRIOT และ FISAAA สามารถนำไปใช้อย่างลับๆ กับทุกบริษัทในโลก แม้แต่ในยุโรป ตราบใดที่บริษัทมีกิจกรรมเชิงพาณิชย์ในสหรัฐอเมริกา อย่างไรก็ตาม ในทางปฏิบัติมีความเสี่ยงมากขึ้นเมื่อข้อมูลออกจากสหภาพยุโรป การรับประกันที่ดีที่สุดคือการใช้ซอฟต์แวร์ฟรีในทุกระดับ พร้อมด้วยการสร้างบันทึกและการติดตามแพตช์ทั้งหมด รวมถึงการตรวจสอบที่ดำเนินการโดยผู้เชี่ยวชาญอิสระในท้องถิ่นโดยปราศจากความจงรักภักดีจากต่างประเทศ
01สุทธิ: ควรทำอย่างไรกับการสอดส่องทางไซเบอร์ที่แพร่หลายเช่นนี้?
แคสเปอร์ โบว์เดน:ฉันยังไม่ได้พูดถึงประเด็นที่น่ากังวลที่สุด ฉันคิดว่าเหตุผลที่ทางการยุโรปนิ่งเฉยก็คือพวกเขาเชื่อชาวอเมริกันเมื่อพวกเขากล่าวว่าทั้งหมดนี้เพื่อต่อสู้กับการก่อการร้าย แต่สิ่งที่แทบไม่เคยเอ่ยถึงในการวิเคราะห์ทางกฎหมายหรือนโยบายเลยก็คือ คำจำกัดความของ "ข่าวกรองต่างประเทศ" (นับตั้งแต่กฎหมาย FISA ฉบับแรกในปี 1978) ครอบคลุมถึง "ข้อมูลที่เกี่ยวข้องกับองค์กรที่ตั้งอยู่ใน 'ชาวต่างชาติทางการเมืองหรือดินแดนต่างประเทศ (!) ซึ่ง เกี่ยวข้องกับการดำเนินกิจการต่างประเทศของสหรัฐอเมริกา'
นี่เป็นการสอดแนมตามสั่งอย่างแท้จริงสำหรับการสอดแนมทางการเมืองอย่างแท้จริง ซึ่งไม่เกี่ยวข้องกับอาชญากรรมดั้งเดิมหรือภัยคุกคามด้านความปลอดภัย ดังที่เราได้กล่าวไปแล้ว มาตรา 1881a ไม่ได้ให้การคุ้มครองข้อมูลที่ไม่ใช่ของสหรัฐอเมริกา แต่ยิ่งไปกว่านั้น ข้อมูลที่สามารถกำหนดเป้าหมายด้วยเหตุผลทางการเมืองได้ถูกกำหนดให้กว้างขึ้นสำหรับชาวอเมริกันที่ไม่ใช่ชาวอเมริกัน นี่เป็นการเลือกปฏิบัติสองครั้งตามสัญชาติ ซึ่งไม่ต้องสงสัยเลยว่าผิดกฎหมายภายใต้อนุสัญญายุโรปว่าด้วยสิทธิมนุษยชน (ECHR) รัฐบาลยุโรปมีหน้าที่ตามกฎหมายในการปกป้องพลเมืองของตนจากความเสี่ยงนี้ แต่ผู้มีอำนาจตัดสินใจในยุโรปยังไม่เข้าใจว่าสิ่งที่เป็นเดิมพันไม่ใช่ความเสี่ยงที่เชื่อมโยงกับการสกัดกั้นการสื่อสารข้อมูล มันมากกว่านั้นมาก บริษัทต่างๆ เช่น Microsoft มีความทะเยอทะยานทางการค้าที่จะชนะสัญญาระบบคลาวด์สำหรับข้อมูลที่จนถึงขณะนี้ไม่เคยออกจากประเทศของเรา แม้แต่ข้อมูลด้านการบริหารเกี่ยวกับชีวิตส่วนตัวของพลเมือง
ฉันเห็นความเป็นไปได้สามประการที่จะหลีกเลี่ยงทั้งหมดนี้ ประการแรกคือให้ยุโรปเจรจาสนธิสัญญากับสหรัฐอเมริกาซึ่งรับรองสิทธิ ECHR ของเราอย่างชัดเจน แต่ในช่วงทศวรรษที่ผ่านมา สหรัฐฯ ได้ขัดขวางข้อเรียกร้องของยุโรปที่ค่อนข้างเรียบง่ายกว่านี้มาก ความเป็นไปได้ประการที่สองคือยุโรปตัดสินใจที่จะพัฒนาอุตสาหกรรมการประมวลผลบนคลาวด์ที่จริงจังและเป็นอิสระอย่างมีกลยุทธ์ เช่นเดียวกับแอร์บัสซึ่งปัจจุบันมีส่วนแบ่งการตลาดมากพอๆ กับโบอิ้ง แต่ Neelie Kroes ลงทุน 15 ล้านยูโร เมื่ออุตสาหกรรมคลาวด์ในสหรัฐอเมริกาลงทุนหลายหมื่นล้านดอลลาร์ ประการสุดท้าย ความเป็นไปได้ประการที่สามคือสหภาพยุโรปเสนอความคุ้มครองทางกฎหมายและผลตอบแทนทางการเงินสำหรับผู้ที่รายงานการมีอยู่ของการสอดแนมที่ไม่เคารพกฎหมายของสหภาพยุโรป พวกเขาอาจเป็นวิศวกรหรือนักกฎหมายที่ทำงานให้กับอุตสาหกรรมของอเมริกาหรือรัฐบาล เมื่อกลายเป็นผู้แจ้งเบาะแส พวกเขาจะต้องรับความเสี่ยงมหาศาล ดังนั้นรางวัลจะต้องยิ่งใหญ่
เป็นวิธีการที่ใช้ในหลายส่วนของโลก รวมถึงสหรัฐอเมริกา เพื่อต่อสู้กับการทุจริตในที่สาธารณะและการหลีกเลี่ยงภาษี ทำไมไม่ใช้มันเพื่อบังคับใช้การปกป้องข้อมูลและการเคารพสิทธิมนุษยชนของยุโรป? รางวัลสามารถจ่ายได้ผ่านค่าปรับของบริษัท และวิธีการนี้สามารถยับยั้งอาชญากรรมที่แทบจะตรวจไม่พบ ความเป็นไปได้ทั้งสามนี้ไม่ได้แยกจากกัน เมื่อรวมกันแล้ว พวกเขาจะสร้างอุตสาหกรรมการประมวลผลแบบคลาวด์ของยุโรปที่เจริญรุ่งเรือง แข่งขันได้ และเคารพในการปกป้องข้อมูล
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
